Kontrola dostępu: podwójna fortyfikacja

Pierwsze z rozwiązań to PAM (Privileged Access Management), czyli oprogramowanie do zarządzania dostępem uprzywilejowanym. W ostatnich latach Gartner niezmiennie umieszcza je na liście 10 najważniejszych projektów związanych z bezpieczeństwem. Drugim jest MFA (Multi-Factor Authentication), czyli systemy do uwierzytelniania wieloskładnikowego. Gdy tak często dochodzi do wykradania i łamania haseł, zastosowanie jednocześnie dwóch różnych, niezależnych form uwierzytelniania znacząco podnosi poziom zabezpieczeń. Mając to na uwadze, warto klientom proponować jednoczesne użycie PAM i MFA, bo oba rozwiązania doskonale się uzupełniają.

Dostęp a polityka bezpieczeństwa

Wraz z postępem technologicznym i nowym stylem pracy zmieniają się wymagania dotyczące kontroli dostępu. Sieci w przedsiębiorstwach i instytucjach to skomplikowane środowiska, składające się z lokalnej infrastruktury i aplikacji działających w chmurze. Wielu użytkowników wykorzystuje własne urządzenia, aby uzyskać dostęp do firmowych zasobów. Zdaniem ekspertów z Cisco prowadzi to do sytuacji, w której wielu z nich łączy się z siecią firmową bez odpowiedniego nadzoru działów IT. Zresztą nie dotyczy to tylko pracowników, bowiem dostępu do sieci mogą potrzebować zewnętrzni dostawcy i partnerzy, co wymaga zastosowania dodatkowych mechanizmów kontrolnych. Jednakże nie wszystkie przedsiębiorstwa stosują dla tej grupy użytkowników restrykcyjną politykę, jeśli chodzi o dostęp i procedury bezpieczeństwa.

Mateusz Kawalec, Security Engineer w Infradata, uważa, że firmy rozwijające swoje systemy IT prędzej czy później zmierzą się ze skomplikowanym procesem zarządzania krytycznymi elementami swojej infrastruktury. Nie wszystkie sobie z tym radzą i niektóre z nich decydują się na wynajęcie firmy zewnętrznej do zarządzania częścią lub większością swojego środowiska IT. Poważnym problemem jest brak nadzoru w czasie rzeczywistym i możliwości rejestrowania czynności wykonywanych przez administratorów w systemach krytycznych. Jednym z efektów tego typu zaniechań może być kradzież lub usuwanie danych z serwerów aplikacyjnych, co prowadzi do strat finansowych i utraty reputacji przedsiębiorstwa. Poza tym pozbawione kontroli działania są później trudne do udowodnienia.

– Firmy często próbują zarządzać dostępem do architektury IT, mimo że nie mają wdrożonej polityki bezpieczeństwa. To poważny błąd. Odpowiednia strategia powinna zawierać m.in. obostrzenia dotyczące rotacji kluczy SSH i złożoności haseł, a także zasady stosowania dwuskładnikowego uwierzytelniania itp. – mówi Mateusz Kawalec.

Uwaga na użytkowników uprzywilejowanych

Jednym z kluczowych rozwiązań w obszarze dostępu, uwierzytelniania użytkowników i ich autoryzacji są systemy PAM. Jak tłumaczy Michał Kozownicki, Deputy Director for BeyondTrust Products & Services w EMS Partner, powstały one, by odebrać użytkownikom korzystającym z bardzo dużych uprawnień (głównie administratorom systemów) część ich władzy. PAM oddziela tych użytkowników od haseł i kluczy do kont uprzywilejowanych. Ponadto proces logowania administratora jest rejestrowany, a wszelka aktywność podejmowana w ramach zdalnych sesji – nagrywana. To właśnie ze względu na tę ostatnią funkcję, której zastosowanie wymuszają przepisy, rodzimi przedsiębiorcy wdrażają PAM. Zdecydowanie mniejszy priorytet nadaje się zapewnianej przez te systemy kontroli dostępu i zarządzaniu poświadczeniami.

– Dlatego zawsze staramy się uświadamiać klientów, że wszystkie trzy filary, na których opiera się PAM, są nierozłączne i samo rejestrowanie sesji jest rozwiązaniem połowicznym – mówi przedstawiciel dystrybutora.

Kontrola wiąże się z koniecznością składania wniosków dostępowych i rejestracją dostępu do krytycznych zasobów. Odgrywa ona kluczową rolę, zapewniając rozliczalność „kto, gdzie i kiedy” oraz uszczelnienie infrastruktury. Z kolei automatyczne zarządzanie poświadczeniami odbiera administratorom pełną władzę nad środowiskiem IT i zdejmuje odpowiedzialność za przechowywanie haseł i kluczy. Takie całościowe podejście jest niezwykle istotne w poprawnej implementacji PAM.

Zdaniem Mateusza Kawalca integrator wychodzący naprzeciw wymaganiom przedsiębiorstwa może zaproponować najpierw wykonanie audytu, a następnie wdrożyć PAM. System taki ma możliwości nadzoru i nagrywania sesji administracyjnych, rotacji haseł, kluczy SSH i przechowywania haseł w postaci zaszyfrowanej w bezpiecznym miejscu (tzw. password vault), czego istotną korzyścią jest wspomniany brak konieczności udostępniania administratorom haseł do systemów IT.

– Z technicznego punktu widzenia PAM może być roz-wiązaniem pracującym w trybie proxy.Wówczas jest umieszczany wewnątrz architektury sieciowej za firewallem lub bramą VPN. W takiej opcji wszystkie połączenia sieciowe do zarządzania systemami są przekierowywane na jeden adres IP – wyjaśnia specjalista Infradata.

W efekcie zmniejsza się liczba adresów IP udostępnianych bezpośrednio za firewallem i jednocześnie jest dodawany kolejny bezpieczny punkt logowania i nadzoru sesji administracyjnych. Po wdrożeniu takiego systemu użytkownik uprzywilejowany wykorzystuje tylko jeden adres IP, aby się zalogować do zdefiniowanych wcześniej systemów zgodnie ze swoimi uprawnieniami.

Sam PAM to za mało…

Michał Kozownicki zwraca uwagę, że PAM nie jest w stanie załatwić wszystkiego. O ile takie systemy w pełni zapewniają zarządzanie dostępem i uwierzytelnianie, o tyle autoryzacja odbywa się na innym poziomie. Oczywiście można ustalić uprawnienia użytkowników w systemach operacyjnych przy użyciu zasad grupy (GPO), ale bardziej szczegółowe określenie tych praw wymaga specjalnych narzędzi. Są nimi systemy EPM (Endpoint Privilege Management), zapewniające precyzyjne ustalenie, jakie aplikacje i procesy mogą być uruchamiane przez poszczególnych użytkowników. Dotyczy to wszystkich kont, również tych z dostępami administracyjnymi.

– Przykładowo, w przypadku kontraktora można określić, z jakich aplikacji może on korzystać w ramach sesji RDP. Jeżeli nie ma potrzeby, żeby uruchamiał edytor rejestru w ramach swojej sesji, to ten program znajdzie się na czarnej liście – mówi przedstawiciel EMS Partner.

W ten sposób można stworzyć w firmie szczelną politykę bezpieczeństwa dotyczącą wykorzystania aplikacji – z uwzględnieniem ich wersji lub nawet hasha pliku wykonywalnego. W najprostszym modelu można zbudować politykę dla „zwykłych” użytkowników, w której ramach wszystkie aplikacje z folderów systemowych (Windows, Program Files) są uruchamiane bez uprawnień administratora. Z reguły będą też aplikacje wymagające w szczególnych okolicznościach uprawnień administracyjnych. Wszystkie inne, nieuwzględnione w ustawieniach, zostają zablokowane. W efekcie pracownicy nie mogą np. pobierać aplikacji z internetu i uruchamiać ich na biurowym komputerze.

Dlatego, jak twierdzi Michał Kozownicki, integracja dwóch obszarów – PAM i EPM – jest niezwykle istotna w tworzeniu strategii zarządzania dostępem, autoryzacji i uwierzytelniania. Oba systemy wdrożone razem zapewniają nie tylko rejestrowanie, kto uzyskuje dostęp i do jakich zasobów, lecz także precyzyjne określenie, jakie działania w ramach tego dostępu może podejmować. Dochodzi więc do uszczelnienia infrastruktury IT, polegającego na ograniczeniu dostępu osób niepowołanych do krytycznych zasobów i zablokowaniu możliwości uruchamiania niepożądanych aplikacji. W efekcie z jednej strony zostaje zaspokojona potrzeba rozliczalności „kto, gdzie i kiedy”, a z drugiej – przez dopasowanie uprawnień konta – maksymalnie redukuje się ryzyko związane z jego kompromitacją, nie ograniczając przy tym produktywności użytkownika.

Podwójne uwierzytelnianie staje się niezbędne

Jak wynika z raportu na temat incydentów bezpieczeństwa „Verizon Data Breach Investigation Report”, aż 81 proc. przypadków włamania na konta użytkowników wiązało się z faktem, że hasła były zbyt słabe lub zostały wykradzione. Dzięki uzyskanemu w ten sposób dostępowi do sieci firmowej cyberprzestępcy mogą próbować uzyskać większe uprawnienia i przeniknąć do innych systemów, serwerów lub aplikacji firmowych. Co więcej, napastnicy próbują instalować programowanie typu malware w systemach wewnętrznych, aby uzyskać stały i nieodkryty przez nikogo dostęp do sieci.

Nałożona niedawno na jednego z dużych graczy e-commerce w Polsce kara związana z wyciekiem danych klientów w 2018 r. to bez wątpienia precedens, który na nowo każe przyjrzeć się zabezpieczeniom stosowanym w sieci. Urząd Ochrony Danych Osobowych stwierdził, że naruszenie było „znacznej wagi i miało poważny charakter” oraz dotyczyło dużej liczby osób, a „podmiot nie zastosował podwójnego uwierzytelniania dostępu do danych”.

Wspomniane przez UODO uwierzytelnianie dwuskładnikowe (czy ogólnie wieloskładnikowe – MFA) to skuteczne narzędzie zabezpieczające przed kradzieżą tożsamości użytkownika. W razie jego zastosowania napastnik potrzebowałby nie tylko uzyskać dane logowania użytkownika, lecz także fizyczny dostęp do jego urządzenia, żeby przeprowadzić atak.

– Już samo wprowadzenie dwóch elementów uwierzytelniania znacznie podnosi poziom bezpieczeństwa. Przedsiębiorstwa mają do wyboru wiele technik uwierzytelniania, które różnią się stopniem zaawansowania i trudnością wdrożenia: hasła, tokeny lub aplikacje z kodami, uwierzytelnianie biometryczne, np. odcisk palca, układ żył w dłoni, skan siatkówki oka lub kształtu twarzy – mówi Mateusz Pastewski, Cybersecurity Sales Manager w Cisco Poland.

Zarówno integratorzy, jak i sami klienci powinni mieć świadomość potencjalnie dużego ryzyka związanego ze słabościami wynikającymi z zastosowania niewystarczających mechanizmów uwierzytelniania użytkowników sieci. Cyberprzestępcy potrafią bowiem skutecznie wykradać dane logowania, stosując wiele różnych technik, w tym m.in. phishing. Z jednej strony metodą obrony, aczkolwiek wymagającą czasu, jest dokładna wiedza na temat zagrożeń i ich ewolucji, a także taktyk wyłudzania danych stosowanych przez cyberprzestępców. Wiedza ta będzie mieć bezpośrednie przełożenie na zastosowaną politykę bezpieczeństwa. Z drugiej – z pomocą przychodzą zabezpieczenia bazujące na zaawansowanych rozwiązaniach, coraz częściej działające także w chmurze.